69% polskich serwerów DNS podatne na atak

Luka wykryta przez Dana Kaminsky'ego pozwala na tzw. zatruwanie pamięci serwera DNS (ang. cache poisoning), co umożliwia cyberprzestępcy przekierowanie nieświadomego internauty pod fałszywy adres IP, aby wyłudzić od niego poufne dane lub zainfekować jego maszynę szkodliwym oprogramowaniem. Pojawiły się już pierwsze exploity, wykorzystujące błąd w DNS - w ubiegłym tygodniu Dziennik Internautów szczegółowo opisał mechanizm ataku.

Dział Domen NASK - trzy tygodnie po ukazaniu się informacji o dziurze - przeanalizował sytuację w polskim internecie. Wyniki sprawdzianu są zatrważające. Po przeanalizowaniu ponad 150 mln zapytań DNS do serwerów domeny .pl okazało się, że 69% resolverów (znajdujących się w polskich klasach adresowych) jest nadal podatna na atak typu cache poisoning.

"Dziwne, że tak poważny problem został w taki sposób zbagatelizowany, a tzw. administratorzy zarządzający DNS i użytkownicy końcowi ze swoimi systemami (Windows/Linux/Mac) nie załatali swoich maszyn" - czytamy na stronie www.cache-poisoning.pl. Tymczasem pojawiły się już doniesienia o pierwszych atakach na serwery nazw domenowych.

Jak informuje vnunet.com, James Kosin - użytkownik grupy mailingowej Fedora Linux - umieścił na niej logi serwera sprzed kilku dni. Cyberprzestępca próbował dostać się do pamięci podręcznej maszyny, by wydobyć z niej dane dotyczące serwisów MySpace, eBay i Wachovia. Celem napastnika było niewątpliwie przekierowanie łączących się z serwerem osób pod fałszywy adres.

Aby sprawdzić, czy serwer DNS, z którego korzystamy, jest podatny na atak, można użyć narzędzia DNS Checker udostępnionego na stronie Dana Kaminsky'ego. Na uwagę zasługuje także zróżnicowany test, który sprawdza przypadkowość portów źródłowych i identyfikatorów transakcji, stworzony przez DNS-OARC.